Хмарний сервіс Okta заявив про злам: зловмисники отримали доступ до файлів, що містять файли cookie й токени сеансу, завантажені клієнтами в її систему керування підтримкою, після того, як зламали її за допомогою вкрадених облікових даних. Ситуацію докладно описує Bleeping Computer.
«Зловмисник зміг переглянути файли, завантажені певними клієнтами Okta в межах нещодавніх звернень у службу підтримки», – сказав головний спеціаліст служби безпеки Okta Девід Бредбері.
CSO Okta додав, що цей інцидент не вплинув на систему керування справами Auth0/CIC. Okta повідомила всіх клієнтів, середовище Okta або запити служби підтримки яких постраждали від інциденту.
Компанія ще не надала подробиць про те, яка інформація клієнтів була розкрита під час зламу. Проте система керування зверненнями до служби підтримки, зламана під час цієї атаки, також використовувалася для зберігання архівних файлів HTTP (HAR), які застосовуються для реплікації помилок користувача чи адміністратора для усунення різних несправностей.
Вони також містять конфіденційні дані, такі як файли cookie та маркери сеансу, які зловмисники можуть використовувати для викрадення облікових записів клієнтів.
«Файли HAR представляють собою записи активності браузера та, можливо, містять конфіденційні дані, включно зі вмістом відвіданих сторінок, заголовками, файлами cookie й іншими даними. Хоча це дає змогу співробітникам Okta копіювати діяльність браузера та вирішувати проблеми, зловмисники можуть використовувати ці файли, щоб видати себе за вас», – пояснює Okta на своєму порталі підтримки.
Під час розслідування інциденту компанія працювала з постраждалими клієнтами та відкликала токени сесії, вбудовані у спільні файли HAR. Тепер усім клієнтам радять очистити свої файли HAR перед наданням доступу, щоб переконатися, що вони не містять облікових даних та файлів cookie/токенів сеансу.
Okta також поділилася списком індикаторів компрометації, помічених під час розслідування, включно з IP-адресами й інформацією про агент користувача браузера.
Представник Okta не відповів на запитання щодо дати порушення та кількості постраждалих клієнтів.
Натомість речник сказав, що система підтримки «відокремлена від виробничої служби Okta, яка повністю працює та не зазнала жодного впливу. Ми повідомили постраждалих клієнтів і вжили заходів для захисту всіх наших клієнтів».
BeyondTrust, один із постраждалих клієнтів, надав додаткову інформацію про інцидент.
Команда безпеки BeyondTrust виявила та заблокувала спробу входу у внутрішній обліковий запис адміністратора Okta 2 жовтня за допомогою файлу cookie, викраденого із системи підтримки Okta.
Незважаючи на те, що BeyondTrust зв’язався з Okta та надав їм дані, які засвідчили, що їхню організацію підтримки було зламано, компанії знадобилося понад 2 тижні, щоб підтвердити порушення.
BeyondTrust каже, що атаці вдалося запобігти завдяки «засобам контролю спеціальної політики», але через «обмеження в моделі безпеки Okta» зловмисник зміг виконати «кілька обмежених дій».
Незважаючи на це, в компанії зазначили, що кіберзлочинець не отримав доступу до жодної з її систем і її клієнти не постраждали.
У середу, 18 жовтня 2023 року, Cloudflare також виявила зловмисну активність, пов’язану зі зламом Okta, на своїх серверах.
«У цій складній атаці ми помітили, що зловмисники скомпрометували два окремі облікові записи співробітників Cloudflare на платформі Okta», – розповіли у компанії.
Однак ця подія не вплинула на інформацію або системи клієнтів Cloudflare.
Раніше ProIT повідомляв про масовий витік даних у Tesla і кого автовиробник звинувачує у зламі.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!